移动应用中OTP认证机制的安全性分析.pdfVIP

移动应用中OTP认证机制的安全性分析 王秦，敖静海 (北京联合大学，北京100101) 摘要一次性口令(简称oTP)认证机制可以实现一次一密，具备更高的安全性，同时，其实现简单、成本低、无需第三方公证， 中分适合于受限的移动应用，但难以抵御小数攻击以及没有实现双向认证，其安全隐患主要在于参与一次性口令生成的随机 数以及口令认证信息均以明文方式传送，因此，可以采用椭圆曲线密码体制Ecc对随机数及认证信息进行加密。 关键词：移动应用；安全性；一次性口令；椭圆曲线密码体制 ofOneTimPasswordA时踟ti∞ti们№chani湘inⅣIObile S吲rityA吲ysis AppIicat加 WANG Qin，AOJjng—haj 《吾e渤g狮{；。fjU掰Vers耗y。8的fng|Oo7D|．c黼a》 nas onetime ft fs and Abtract：One一丁-丌1e n喀ner∞curftyby padding． impIemlented PasSword(0丁P)authentfcatjo丌mecha几ism simpIy，cost|ess no s0it is moresuitablefOrIimit酣mobjlecommerce butit couldn’tresjstdecimaIattack neededthird—partynotarization，and envirOnment， andreaIizebidirectjonaI Thema．nreasOnis thatrandomnumber one—time andauthentjcationinformatiOnare authentication． generated passwOrd transmitted cuPve usedto randomnumberandautnenticationjnformatjon． bypIaintext，so副|pticcryptosystem(Ecc)isencrypting words：MobiIe Key appIicatioo；Securjty；OTP；ECC 1引言 (Securepass 目前移动应用最广泛的口令认证机制是静态口 过程中基于SPP加入不确定因素，通过誓向敞列函 令认证机制，其优点是简单、易用，并且具备一定 数进行摘录运算得到认证数据(一次性口令)，如： 的安全性。但是，静态口令认证机制存在诸多安全 问题，如：在线路安全上，面临数据窃听、数据截 到认证服务器，认证服务器收到后以同样的函数作 取／重放等问题；在口令安全上，面临口令猜测、 验算，如果栩同，表明客户端身份合法；否则，不 口令穷举等问题；在策略安全上，面临口令泄漏、 能通过认证。由于客户端每次生成认证数据都采用 垃圾搜索等问题。 不同的不确定因素值，保证了客户端每次提交的认 二十世纪八十年代初，针对静态口令的缺陷， 证数据都不相同，因此，0TP认证机制可以有效地 提高身份认证的安全性。 Lamport提出利用单向散列函数产生一次性口令的 思想，即客户端每次同认证服务器连接过程中传输 根据一次性口令生成时不确定因素的选择方式，